Apple aygıtları için sertifika yönetimine giriş
Apple aygıtları sayısal sertifikaları destekler ve böylece kuruluşunuzun kurumsal servislere kolayca erişmesini sağlar. Bu sertifikalar çok değişik şekillerde kullanılabilir. Örneğin Safari tarayıcısı bir X.509 sayısal sertifikasının geçerliliğini denetleyebilir ve 256 bite kadar AES şifrelemesiyle güvenli bir oturum açabilir. Bu, site kimliğinin geçerli ve kişisel veya gizli verilerin başkalarının eline geçmesini önlemeye yardımcı olmak için web sitesiyle iletişimin korumalı olduğunun doğrulanmasını da içerir. Sertifikalar yazarın veya “imzalayan kişinin” kimliğini garantilemek ve e-postaları, konfigürasyon profillerini ve ağ iletişimlerini şifrelemek için de kullanılabilir.
Apple aygıtlarıyla sertifikaları kullanma
Apple aygıtları çeşitli sertifika otoritelerine (CA) ait birçok önceden yüklenmiş kök sertifika içerir; iOS, iPadOS, macOS ve visionOS bu kök sertifikaların güvenilirliğini doğrular. Bu sayısal sertifikalar, istemciyi veya sunucuyu güvenli bir şekilde belirlemek ve bunların arasındaki iletişimi genel ve özel anahtar çiftini kullanarak şifrelemek için kullanılabilir. Sertifika, istemci (veya sunucu) hakkında bilgi veren ve bir sertifika otoritesi tarafından imzalanmış (doğrulanmış) bir genel anahtar içerir.
iOS, iPadOS, macOS veya visionOS, imzalayan sertifika otoritesinin güven zincirini doğrulayamazsa servis bir hatayla karşılaşır. Kendinden imzalı sertifika, kullanıcı etkileşimi olmadan doğrulanamaz. Daha fazla bilgi için iOS 17’de, iPadOS 17’de, macOS 14’te, tvOS 17’de ve watchOS 10’da sunulan güvenilir kök sertifikaların listesi adlı Apple Destek makalesine bakın.
Önceden yüklenmiş kök sertifikalardan herhangi biri bozulursa iPhone, iPad ve Mac aygıtları, sertifikaları kablosuz olarak (ve Mac için Ethernet üzerinden) güncelleyebilir. Bu özelliği kablosuz veya kablolu ağlar üzerinden sertifika güncellemelerini önleyen “Sertifika güven ayarlarının otomatik güncellenmesine izin ver” mobil aygıt yönetimi (MDM) sınırlamasını kullanarak etkisizleştirebilirsiniz.
Desteklenen kimlik türleri
Sertifika ve onunla ilişkili özel anahtar kimlik olarak bilinir. Sertifikalar serbestçe dağıtılabilir ama kimliklerin güvenli tutulması gerekir. Serbestçe dağıtılan sertifika ve özellikle onun genel anahtarı, yalnızca eşleşen özel anahtarla açılabilecek bir şifreleme için kullanılır. Bir kimliğin özel anahtar bölümü bir PKCS #12 kimlik sertifikası (.p12) dosyası olarak saklanır ve parolayla korunan başka bir anahtarla şifrelenir. Bir kimlik; kimlik doğrulama (802.1X EAP-TLS gibi), imzalama veya şifreleme (S/MIME gibi) için kullanılabilir.
Apple aygıtlarının desteklediği sertifika ve kimlik biçimleri:
Sertifika: .cer, .crt, .der, RSA anahtarları içeren X.509 sertifikaları
Kimlik: .pfx, .p12
Sertifika güveni
Bir sertifika, kökü güvenilir kök sertifikalar listesinde olmayan bir sertifika otoritesi tarafından yayımlanmışsa iOS, iPadOS, macOS ve visionOS sertifikaya güvenmez. Kurumsal sertifika yayımlayan Sertifika Otoritelerinde genellikle bu durum görülür. Güven oluşturmak için sertifika dağıtımı bölümünde açıklanan yöntemi kullanın. Böylelikle dağıtılan sertifikada güvenilirlik çapası ayarlanır. Çok katmanlı açık anahtar altyapıları için, yalnızca kök sertifikanın değil, zincirdeki alt köklerin de güvenilirliğini sağlamak gerekebilir. Genellikle, kurumsal güven gerektiğinde aygıttaki diğer servisleri etkilemeden MDM çözümünüz ile güncellenebilen tek bir konfigürasyon profilinde ayarlanır.
iPhone’da, iPad’de ve Apple Vision Pro’da kök sertifikalar
Denetlenip yönetilmeyen iPhone’a, iPad’e veya Apple Vision Pro’ya profil aracılığıyla elle yüklenen kök sertifikalar şu uyarıyı görüntüler: ““sertifika adı” sertifikasını yüklemek onu iPhone’unuzdaki veya iPad’inizdeki güvenilir sertifikalar listesine ekler. Bu sertifika, onu Sertifika Güven Ayarları’nda etkinleştirene kadar web siteleri için güvenilir değildir.”
Bu durumda kullanıcı aygıttaki Ayarlar > Genel > Hakkında > Sertifika Güven Ayarları bölümüne giderek sertifikaya güvenebilir.
Not: Bir MDM çözümüyle veya denetlenip yönetilen aygıtlara yüklenen kök sertifikalar, güven ayarlarını değiştirme seçeneğini etkisizleştirir.
Mac’te kök sertifikalar
Bir konfigürasyon profili yoluyla elle yüklenen sertifikalarda yüklemeyi tamamlamak için ek bir eylem gerçekleştirilmesi gerekir. Profil eklendikten sonra kullanıcı Ayarlar > Genel > Profiller’e giderek İndirilenler’in altında profili seçebilir.
Kullanıcı daha sonra ayrıntıları gözden geçirebilir, vazgeçebilir ya da Yükle’yi tıklayarak ilerleyebilir. Kullanıcının bir yerel yönetici kullanıcı adı ve parolası sağlaması gerekebilir.
Not: macOS 13 veya daha yenisinde, bir konfigürasyon profili yoluyla elle yüklenen kök sertifikalar saptanmış olarak TLS için güvenilir şeklinde işaretlenmez. Gerekirse, Anahtar Zinciri Erişimi uygulaması TLS güvenini sağlamak için kullanılabilir. Bir MDM çözümüyle veya denetlenip yönetilen aygıtlara yüklenen kök sertifikalar, güven ayarlarını değiştirme seçeneğini etkisizleştirir ve TLS ile kullanılmak üzere güvenilir.
Mac’te alt kök sertifikalar
Alt kök sertifikalar, sertifika otoritelerinin kök sertifikası tarafından verilip imzalanır ve Mac’te Anahtar Zinciri Erişimi uygulaması kullanılarak yönetilebilir. Bu alt kök sertifikaların geçerlilik süresi, çoğu kök sertifikaya kıyasla daha kısadır ve bu sertifikalar, web tarayıcılarının alt kök sertifikayla ilişkili web sitelerine güvenmeleri için kullanılır. Kullanıcılar, Anahtar Zinciri Erişimi’ndeki Sistem anahtar zincirini görüntüleyerek süresi dolmuş alt kök sertifikaları bulabilir.
Mac’te S/MIME sertifikaları
Kullanıcı, anahtar zincirindeki S/MIME sertifikalarını silerse artık daha önce o sertifikalar kullanılarak şifrelenmiş e-postaları okuyamaz.